Il costo del ransomware: in un modo o nell'altro, ogni azienda paga

Il ransomware è una delle minacce informatiche più devastanti che le aziende odierne si trovano ad affrontare. Può arrecare danni irreparabili ai sistemi, ai dati e alla reputazione di un'azienda e può avere un impatto finanziario notevole.

Esploriamo l'importanza degli attacchi ransomware dal punto di vistas dei costi, che vanno ben oltre quelli relativi al pagamento del riscatto. Anche le vittime che si rifiutano di pagare, infatti, dovranno affrontare spese ingenti e mancati utili non solo per la durata dell'incidente e nel corso del processo di contenimento e ripristino, ma potenzialmente anche per le settimane e i mesi seguenti.

Gli attacchi ransomware possono avere un impatto finanziario disastroso sulle aziende, sia in termini di costi diretti che indiretti. In genere, tra i costi diretti figura il prezzo del riscatto pagato (in cambio di una chiave per decrittografare i dati e della promessa di non dare seguito alle minacce di diffondere i dati sottratti, di sferrare un attacco denial-of-service sui server pubblici dell'azienda e così via), oltre ai costi per l'assunzione di addetti alla rimozione del malware e al ripristino dei sistemi interessati. I costi indiretti possono includere la perdita di produttività e di fatturato dovuta all'interruzione operativa, danni alla reputazione, multe per la violazione della conformità e spese legali.

Costi diretti

Uno dei più alti riscatti noti è quello di 70 milioni di dollari richiesto al fornitore di software Kaseya dagli autori dell'attacco ransomware REvil. Le richieste di riscatto variano da migliaia a decine di milioni di dollari, a seconda della complessità dell'attacco e della quantità di informazioni raccolte sulle disponibilità di pagamento dell'azienda colpita.

A volte, la richiesta di riscatto ammonta a una percentuale del fatturato annuo dell'azienda in questione (di solito il 3%).

Secondo le stime degli esperti, il pagamento del riscatto rappresenta solo una piccola parte, a volte pari ad appena il 15%, dei costi complessivi associati a un attacco ransomware.

Costi indiretti

Di solito, il costo dell'interruzione operativa e del ripristino dei dati persi rappresenta una parte molto più consistente delle spese complessive di un attacco ransomware. Dopo un problema di questo tipo, l'azienda media sperimenta un periodo di interruzione operativa di 22 giorni prima di poter ripristinare le operazioni. Il costo medio di questa inattività è spesso cinquanta volte superiore a quello del riscatto.

In seguito a un attacco ransomware, l'intera azienda deve concentrarsi sul ripristino, dai team dell'IT, impegnati nel recupero dei dati crittografati o danneggiati e nel riavvio delle operazioni, ai team dei reparti marketing, legale, risorse umane e di altre unità che gestiscono le comunicazioni in momenti di crisi. I costi aggiuntivi del ransomware possono includere la perdita di opportunità di vendita, la riduzione dell'offerta di prodotti o servizi, danni alla reputazione, spese per consulenti e collaboratori esterni per accelerare il ripristino, la perdita di capitale per le società per azioni, sanzioni da parte delle agenzie di regolamentazione per la mancata protezione dei dati dei clienti o altre violazioni della conformità, penali pagate ai clienti per il mancato rispetto dei contratti sui livelli di servizio (SLA) e così via.

Inoltre, gli attacchi ransomware rivelano i punti deboli delle misure di Cyber Security di un'azienda, rendendo necessaria l'analisi dei dati forensi per identificare la vulnerabilità che ha permesso l'attacco e la creazione di un piano per colmare tali lacune, in modo da prevenire il ripetersi di un attacco simile, oltre a investimenti aggiuntivi nella tecnologia, nei processi e nella formazione del personale in materia di Cyber Security per eseguire tali misure correttive.

Pagamento del riscatto escluso, si prevede che nel 2023 il costo medio di una violazione dei dati raggiungerà i 5 milioni di dollari a livello globale.

Non è possibile effettuare una stima precisa dei costi degli attacchi informatici distruttivi. Le perdite finanziarie subite dalle aziende possono variare notevolmente in base a diversi fattori, tra cui:

• Il tipo di dati crittografati o compromessi dall'attacco. Se i dati critici vengono crittografati, l'azienda potrebbe dover pagare un riscatto per ripristinarli o affrontare dei costi per sostituirli.

• Sanzioni normative, soprattutto in caso di perdita o esposizione di dati sensibili.

• Perdita di produttività, ricavi e altri costi associati all'impossibilità di condurre le normali attività aziendali.

• Danni alla reputazione. I clienti e i partner potrebbero nutrire timori sulla sicurezza dei loro dati e decidere di ridurre o interrompere i rapporti con l'azienda; i potenziali clienti potrebbero rimandare la firma dei contratti o annullare quelli in corso; in seguito alla pubblicità negativa, la fiducia degli investitori e il prezzo delle azioni potrebbero subire un calo.

Pagando il riscatto, le aziende potrebbero credere di eliminare completamente il rischio posto da un attacco informatico. Ma si tratta di un'illusione che può comportare diversi rischi:

• Gli hacker potrebbero avere ancora accesso ai sistemi e ai dati dell'azienda.

• Gli autori dell'attacco potrebbero aver estratto dati sensibili e richiedere altro denaro per non renderli pubblici.

• Il pagamento del riscatto non garantisce che gli hacker non lancino attacchi futuri.

• Il pagamento del riscatto può incoraggiare altri hacker a prendere di mira l'azienda.

Sono numerosi gli esempi che mostrano l'impatto finanziario degli attacchi ransomware sulle aziende di ogni settore, area geografica e dimensione.

Secondo il Dipartimento della giustizia degli Stati Uniti, circa il 75% dei casi di ransomware riguarda le piccole imprese. E da una recente ricerca è emerso che il 60% delle piccole imprese vittime di attacchi informatici cessa l'attività entro sei mesi.

• Nel settembre 2022, il gruppo specializzato in ransomware Hive ha rivendicato la responsabilità di quattro attacchi ai danni di altrettante aziende in una settimana. Gli hacker hanno avuto accesso ai sistemi di Empress EMS (Emergency Medical Services), un fornitore di servizi di pronto intervento e di ambulanza con sede a New York. Questo attacco ha interessato oltre 320.000 persone.

• Damart, azienda francese di abbigliamento con oltre 130 negozi in tutto il mondo, è stata colpita da un attacco ransomware nel 2022 e ha ricevuto la richiesta di un riscatto di 2 milioni di dollari. L'infezione ransomware ha impedito l'elaborazione di nuovi ordini e ha reso indisponibile l'assistenza clienti.

• Nel 2022, Nvidia ha subito un attacco ransomware che ha fatto trapelare online le credenziali dei dipendenti e informazioni proprietarie. Il gruppo di ransomware Lapsus$ ha affermato di aver esfiltrato all'azienda un terabyte di dati e ha chiesto come riscatto il pagamento di 1 milione di dollari più una percentuale di una quota non specificata.

• Il Lincoln College dell'Illinois ha dovuto chiudere i battenti in seguito a un attacco ransomware sferrato nel dicembre 2021, che ha bloccato tutti i sistemi utilizzati per il reclutamento e la conservazione degli studenti e la raccolta fondi.

Questi esempi mostrano il diverso impatto finanziario e il costo reale degli attacchi ransomware in base alle dimensioni e al tipo di azienda, alla portata dell'attacco e alla risposta all'attacco.

Gli autori di attacchi ransomware prendono di mira aziende operanti in ogni campo, ma prediligono alcuni settori verticali che sono più vulnerabili a specifiche pressioni esterne, come quello sanitario, finanziario, tecnologico, della pubblica amministrazione e dell'istruzione.

Settore sanitario: spesso gli ospedali gestiscono dati sensibili dei pazienti che possono essere sfruttati dagli hacker; inoltre, di solito presentano un livello di sicurezza informatica inferiore rispetto ad altri settori. Bloccare i sistemi utilizzati per l'assistenza sanitaria può mettere a rischio la vita dei pazienti.

Finanza: le banche e altri istituti finanziari conservano dati riservati dei clienti che gli hacker possono utilizzare per estorcere denaro alle vittime o commettere furti di identità. Gli enti normativi e di settore possono imporre sanzioni severe alle aziende che violano le normative sulla conformità della privacy dei dati.

Uffici della pubblica amministrazione: spesso le agenzie e le istituzioni governative possiedono o gestiscono dati di infrastruttura critici o informazioni riservate che gli hacker possono utilizzare per ricattare le vittime o per causare interruzioni operative. I leader politici devono rispondere alle reazioni dell'opinione pubblica quando i servizi critici per l'elettorato vengono messi fuori uso per lunghi periodi di tempo.

Istituti scolastici: spesso le organizzazioni scolastico-formative tengono in archivio informazioni di identificazione personale (PII) o documenti di ricerca che gli hacker possono vendere sul mercato nero o che possono utilizzare per estorcere denaro alle vittime. I limiti in fatto di budget e di personale informatico, così come la tendenza degli studenti a prestare poca attenzione ai siti web a cui accedono e alle applicazioni che scaricano, creano un ambiente tecnologico con molte più vulnerabilità rispetto ai normali ambienti commerciali.

Tecnologia: come altre aziende, anche le società tecnologiche possono incontrare difficoltà a tenere il passo con le patch delle vulnerabilità note e a contrastare le più recenti minacce alla sicurezza. Ma il rischio di danni alla reputazione è maggiore rispetto alle aziende non tecnologiche, perché è più probabile che i clienti, i potenziali clienti e i partner voltino le spalle a una società tecnologica nota per aver subito un attacco ransomware o malware.

Secondo un recente report, nel 2022 gli attacchi ransomware sono aumentati drasticamente, tanto da rappresentare il 25% di tutte le violazioni. Inoltre, nel 2021 il ransomware ha colpito il 66% delle organizzazioni, con un aumento del 78% rispetto al 2020.

La richiesta media di riscatto è aumentata drasticamente, poiché gli hacker si sono resi conto che molte organizzazioni sono disposte a pagare per evitare interruzioni operative e gli ingenti costi associati a un attacco ransomware. Ad esempio, secondo il Washington Post, nel 2021 il numero di aziende vittime di ransomware che ha pagato il riscatto è aumentato del 70%.

L'avvento delle criptovalute, come il Bitcoin, è un altro dei principali fattori di successo dei gruppi specializzati in ransomware e della loro capacità di operare senza essere ostacolati dalle forze dell'ordine. I pagamenti di riscatti in criptovaluta sono difficili da rintracciare e possono essere facilmente convertiti in contanti. Inoltre, molte società dedite al crimine informatico operano sul dark web.

Gli autori di ransomware non si affidano più soltanto alla crittografia per estorcere riscatti alle vittime. Sempre più spesso, gli hacker esfiltrano notevoli quantità di dati sensibili prima di sferrare un attacco ransomware. Questo perché la vittima potrebbe anche non essere interessata a pagare in cambio della chiave di decrittografia dei dati, mentre è molto più probabile che accetti le condizioni del riscatto per evitare che l'hacker faccia trapelare online dati sensibili ed esponga l'azienda a vari tipi di rischi in termini legali, di reputazione e di conformità.

Sono numerosi gli esempi di attacchi di questo tipo. Optus, una filiale di Singtel e il secondo operatore mobile australiano con oltre 10,5 milioni di abbonati, ha subito una violazione della sicurezza nel settembre 2022. Gli hacker hanno dichiarato di aver ottenuto i dati di 11 milioni di clienti e hanno chiesto un riscatto di 1 milione di dollari.

Marriott International ha reso noto il furto delle informazioni private di 500 milioni di ospiti in seguito a una violazione dei dati del 2022. In un attacco messo a segno ai danni di Twitter, gli hacker si sono impossessati di decine di account di alto profilo con l'intento di compiere truffe relative alle criptovalute.

È difficile effettuare una stima precisa del costo medio di un attacco ransomware. Non tutti gli attacchi vengono denunciati e i costi sostenuti possono variare notevolmente a seconda delle dimensioni e della natura dell'organizzazione colpita, della quantità di dati crittografati e del riscatto richiesto. Secondo alcune stime, tuttavia, il costo degli attacchi ransomware potrebbe essere di miliardi di dollari all'anno.

Stando al Report Acronis di fine anno sulle minacce digitali del 2022, il costo medio totale di una violazione dei dati negli Stati Uniti è stato di quasi 9,5 milioni di dollari. Come abbiamo visto, si prevede che a livello mondiale il costo medio per attacco supererà i 5 milioni di dollari nel 2023.

Nel Ransomware Market Report del 2022, gli analisti di Cybersecurity Ventures prevedono che il ransomware costerà alle aziende colpite 265 miliardi di dollari totali all'anno entro il 2031.

Secondo i dati di un'indagine condotta da Statista nel 2022 sui professionisti IT a livello globale, circa il 72% degli intervistati ha pagato un riscatto e ha recuperato i dati compromessi.

Tuttavia, rispetto al 2021, i pagamenti associati ad attacchi ransomware sono diminuiti di oltre il 40% nel corso del 2022, poiché le vittime hanno rifiutato di pagare gli estorsori, secondo la società di analisi blockchain Chainalysis. Stando al suo Crypto Crime Report 2023, nel 2022 gli autori di ransomware hanno estorto alle vittime 456,8 milioni di dollari. Si tratta di un calo significativo rispetto ai 765,6 milioni di dollari del 2021 e ai 765 milioni di dollari del 2020.

Alcune polizze di assicurazione informatica coprono gli attacchi ransomware, ma la copertura e i termini specifici possono variare a seconda della compagnia assicurativa e della polizza acquistata. Ad esempio, alcune polizze coprono il pagamento del riscatto, mentre altre solo i costi di ripristino dei dati o dei sistemi.

In entrambi i casi, i prezzi di queste polizze sono aumentati considerevolmente negli ultimi anni. Ciò è dovuto al crescente numero di attacchi informatici che si verificano in tutto il mondo. Le compagnie di assicurazione conoscono meglio i rischi dell'attività online e di conseguenza applicano premi assicurativi più elevati.

Il prezzo del ripristino da un attacco ransomware può variare notevolmente a seconda della portata e della gravità dell'incidente, e il pagamento del riscatto non è l'unico costo da sostenere.

Ad esso occorre aggiungere le spese relative al ripristino dei dati e del sistema, i costi legali e quelli per garantire la conformità alle normative, nonché i danni alla reputazione. Secondo alcuni report, il costo medio di un attacco ransomware è di 4,54 milioni di dollari escluso il pagamento del riscatto, che è in media di 812.360 dollari.

È possibile utilizzare diversi metodi per eseguire il ripristino da un attacco ransomware, ma il requisito più importante è disporre di una buona strategia di backup e di disaster recovery, essenziale nel caso in cui i dati sottratti vengano crittografati.

È inoltre importante avere installati software antivirus, anti-malware e di autenticazione a due fattori per prevenire l'infezione iniziale e adottare misure per evitare che si verifichino attacchi ripetuti, poiché il costo della prevenzione è in genere di gran lunga inferiore a quello del ripristino.

Gli attacchi informatici non colpiscono soltanto le grandi imprese, ma anche le aziende più piccole con budget limitati e meno competenze.

Indipendentemente dalle dimensioni dell'organizzazione, è fondamentale disporre di un solido piano di backup e di disaster recovery per garantire la continuità operativa. Ciò consente un rapido ripristino dei dati in caso di compromissione del sistema.

Per proteggere i dati è inoltre importante:

• Formare i dipendenti sul ransomware e sul suo funzionamento. I dipendenti devono essere consapevoli dei rischi associati all'apertura di allegati e-mail e di link provenienti da fonti sconosciute.

• Implementare misure di sicurezza come firewall, sistemi di rilevamento e prevenzione delle intrusioni, autenticazione a più fattori e filtraggio delle e-mail.

• Mantenere i sistemi e i software aggiornati con le più recenti patch di sicurezza, in modo da eliminare eventuali vulnerabilità note che gli hacker potrebbero sfruttare.

Il ransomware è una minaccia in continua evoluzione e le piccole imprese devono adottare misure proattive per proteggersi dalle perdite finanziarie.

Per ridurre i costi associati agli attacchi ransomware, devono investire in soluzioni di Cyber Security, formare il personale in modo che sia in grado di rilevare le attività sospette e disporre di backup affidabili per il ripristino dei dati e di un piano completo per affrontare queste minacce.

Acronis Cyber Protect è una soluzione di Cyber Protection integrata ed economica basata su intelligenza artificiale. Rileva le attività dannose e previene gli attacchi ransomware analizzando il comportamento dei file e delle applicazioni presenti nel sistema, terminando i processi malevoli e annullando automaticamente i danni provocati.

Include un solido motore anti-ransomware che rileva e blocca in modo proattivo i tentativi di crittografia o di eliminazione dei dati e protegge da altri tipi di malware. Inoltre, Acronis Cyber Protect è in grado di ripristinare rapidamente qualsiasi dato crittografato dal ransomware e include le migliori funzionalità di backup di dati e di disaster recovery, per cui è uno strumento prezioso per le aziende.

Vuoi vedere Acronis Cyber Protect in azione?Prova la versione trial gratuita valida 30 giorni!